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Datenschutzrechtliche Probleme bei Anbietern der genetischen Genealogie 


Vorbemerkung der Fragesteller 

Insbesondere in den USA erfreuen sich Angebote, anhand der von den Kundin¬ 
nen und Kunden eingesendeten DNA nach Verwandten zu suchen oder die Ab¬ 
stammungsgeschichte nachvollziehen zu können, immer größerer Beliebtheit. 
Laut eines Beitrags im Wissenschaftsmagazin „Science“ (Identity inference of 
genomic data using long-range familial searches, Oktober 2018) haben bis April 
2018 15 Millionen Kundinnen und Kunden autosomale Gentests in Anspruch 
genommen, bei denen sie ihre wesentlichen genetischen Marker in Erfahrung 
bringen können. Auch in Deutschland ist mit dem US-Untemehmen „Ancestry“ 
ein Anbieter auf den Markt getreten, der damit wirbt, seine Kundinnen und Kun¬ 
den über die geographische Herkunft ihrer Vorfahren aufklären zu können oder 
in seiner bereits vorhandenen DNA-Datenbank nach Verwandten bis hin zu 
Cousins vierten Grads weltweit suchen zu können (www.ancestry.de). 

Der profilierte Datenschützer Thilo Weichert hat in einem Rechtsgutachten 
(12/2018) und in der Fachzeitschrift „Datenschutz und Datensicherheit“ 
(3/2019) auf die bislang kaum diskutierten datenschutzrechtlichen Problemati¬ 
ken dieses Angebots hingewiesen. Bei genetischen Daten handele es sich um 
hoch sensible Daten: sie seien kaum wirksam anonymisierbar, anders als viele 
äußere Merkmale sogar bis über den Tod hinaus unveränderbar, ließen Rück¬ 
schlüsse auf äußere und innere körperliche wie seelische Merkmale zu und seien 
zudem leicht beschaffbar. Dies sei verfassungsrechtlich dahingehend anerkannt 
worden, dass hier ein Recht auf „Nichtwissen“ geschaffen worden sei. Die 
Kenntnis über Dispositionen oder biologische Verwandtschaftsverhältnisse 
könne das persönliche Wohlbefinden erheblich beeinträchtigen. Hierin liegt 
überhaupt ein wichtiger Wesenszug genetischer Daten: sie haben ihrer Natur 
nach immer einen Drittbezug - von der Kenntnis über ein biologisches Ver¬ 
wandtschaftsverhältnis können Menschen betroffen sein, die davon gar keine 
Kenntnis haben wollen und selbst nie ihre genetischen Daten untersuchen lassen 
oder gar offenlegen würden. In dem Zusammenhang weist Thilo Weichert da¬ 
rauf hin, dass Ancestry in seinen AGB die datenschutzrechtliche Verantwort¬ 
lichkeit für die Datenschutzrechte der biologischen Verwandten allein an die 
Kundinnen und Kunden weise; das sei rechtswidrig, hier gelte eine gemeinsame 
Verantwortlichkeit der Kundinnen und Kunden und des Unternehmens im Sinne 
des Artikel 26 der Datenschutz-Grundverordnung (DSGVO). Auch sei nicht 
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ausreichend für die Richtigkeit der erhobenen Daten Sorge getragen - es sei 
vollständig unproblematisch, unter falscher Identität Speichel untersuchen zu 
lassen, um verdeckte eigentlich unzulässige Abstammungstests durchführen zu 
lassen. Wegen der fehlenden Schnittstelle zwischen analoger Speichelproben¬ 
entnahme und der digitalen Auswertung seien diese Genanalysen nach europä¬ 
ischem Recht nicht zulässig. 

Ein weiterer Kritikpunkt betrifft die Nutzung der gewonnenen Daten vorgeblich 
zu Forschungszwecken. Daten zweckändemd für Forschungszwecke zu nutzen, 
könne nach EU-Datenschutzrecht zulässig sein. Gerade in diesem Bereich gibt 
es aber Zweifel an der reinen Bindung an den Zweck der Forschung, vielmehr 
gehe es um kommerzielle Produktentwicklung. Dass ein Unternehmen, das zur 
„Ahnenforschung“ viele Gendaten sammelt, von einem Phannakonzem meh¬ 
rere hundert Millionen US-Dollar für diese Daten erhält, kann nach Ansicht der 
Fragesteller durchaus als Flinweis gewertet werden, dass es hier um kommerzi¬ 
elle Zwecke geht. Anders herum untersagen wiederum die Genealogieanbieter 
ihren Kundinnen und Kunden, die Erkenntnisse zu ihren DNA-Sequenzen für 
eigene Zwecke zu nutzen. Sie wollen sich für die weitere Verwertung die Ex¬ 
klusivität sichern. Das steht in deutlichem Widerspruch zum grundrechtlichen 
Auskunftsanspruch auf die personenbezogenen Daten zur eigenen Person. 

In seinem Rechtsgutachten stellt Thilo Weichert zudem Verstöße der Geschäfts¬ 
bedingungen von Ancestry gegen das Gendiagnostikgesetz (GenDG) fest. Es 
reguliert seit 2010 die Verarbeitung von personenbezogenen Gendaten und soll 
Betroffene vor genetischer Diskriminierung schützen und das Recht auf Nicht¬ 
wissen wahren. Es wird sich dabei auf medizinische Gentests und Tests zur Klä¬ 
rung der Abstammung bezogen - beide Zwecke würden selber von Ancestry 
gegenüber Kundinnen und Kunden genannt. Voraussetzung für beide Zwecke 
sei eine umfassende ärztliche Aufklärung der Betroffenen und die Dokumenta¬ 
tion ihrer Einwilligung. Diesen Anforderungen entspräche Ancestry jedoch 
nicht. Zudem sei laut Gutachten unklar, ob die Analysen durch „Ärztinnen oder 
Ärzte oder durch auf dem Gebiet der Abstammungsbegutachtung erfahrene 
nichtärztliche Sachverständige mit abgeschlossener naturwissenschaftlicher 
Hochschulausbildung“ vorgenommen wird, wie es das GenDG erfordert. 


1. Wie viele Anbieter von genetischen Abstammungs- und Herkunftstests auf 
dem deutschen Markt sind der Bundesregierung derzeit bekannt? 

Die Bundesregierung führt keine eigenen amtlichen Verzeichnisse über die An¬ 
bieter von genetischen Abstammungs- und Herkunftstests auf dem deutschen 
Markt. 


2. Welche Anforderungen müssen diese Unternehmen erfüllen, um ihre Dienst¬ 
leistungen auf dem deutschen Markt anbieten zu können? 

Den Unternehmen obliegt die Verantwortung, die in Deutschland für die jewei¬ 
lige Dienstleistungen geltenden Gesetze und sonstigen einschlägigen Anforde¬ 
rungen einzuhalten. 


3. Inwieweit entspricht das Angebot von Anbietern der Anforderung des Gen¬ 
diagnostikgesetz (GenDG) einer umfassenden und dokumentierten ärztli¬ 
chen Aufklärung von Betroffenen über „Zweck, Art, Umfang und Aussage¬ 
kraft“ von genetischen Untersuchungen? 

Die Bundesregierung kann keine Einzelsachverhalte beurteilen. Dies ist gegebe¬ 
nenfalls Aufgabe der Gerichte beziehungsweise der zuständigen Behörden. Lie¬ 
gen Verstöße gegen das Gendiagnostikgesetz (GenDG) vor, kommen Sanktionen 
nach den §§ 25, 26 GenDG in Betracht. 
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4. Welche Aufsichtsbehörden sind neben den jeweils lokal zuständigen Lan¬ 
desbeauftragten für den Datenschutz mit der Zulassung von und Aufsicht 
über diese Unternehmen zuständig? 

Zuständig ist jeweils die Aufsichtsbehörde des Bundeslandes, in dem der Sitz des 
Unternehmens liegt. Die zuständige Behörde bestimmt sich nach dem jeweiligen 
Landesrecht. 


5. Ist der Bundesregierung bekannt, wie sichergestellt wird, dass Anbieter auf 
dem deutschen Markt die im GenDG geforderten Qualitätsanforderungen er¬ 
füllen, nach der genetische Untersuchungen nur durch Fachpersonal in ak¬ 
kreditierten Einrichtungen, nach dem aktuellen Stand der Wissenschaft und 
Technik durchgeführt werden dürfen? 

Auf die Antwort zu Frage 3 wird verwiesen. 


6. Ist der Bundesregierung das Problem bekannt, unter Angabe einer falschen 
Identität genetische Verwandtschaftstests durchführen zu lassen, und welche 
Schlussfolgerungen und Konsequenzen zieht die Bundesregierung daraus? 

Das GenDG enthält in den §§25 und 26 Straf- und Bußgeldvorschriften. Die zu¬ 
ständigen Behörden haben zu prüfen, ob das in Frage 6 beschriebene Verhalten 
strafbar ist oder als Ordnungswidrigkeit geahndet werden kann; es kommt auf die 
genauen Umstände des Einzelfalls an. 


7. Was ist der Bundesregierung dazu bekannt, ob auf dem deutschen und EU- 
Markt Anbieter für genetische Genealogie aktiv sind, die ihre Daten für For¬ 
schungszwecke veräußern, und ist nach Erkenntnis der Bundesregierung ge¬ 
sichert, dass diese Forschungszwecke den Anforderungen von Artikel 89 
Absatz 1 DSGVO genügen? 

Der Bundesregierung liegen hierzu keine Erkenntnisse vor. 


8. Inwieweit ist für diesen Bereich nach Ansicht der Bundesregierung der EU- 
US-Privacy Shield einschlägig, insofern Daten von deutschen bzw. Kundin¬ 
nen und Kunden aus der EU von den mit der genetischen Untersuchung be¬ 
auftragten Unternehmen aus den USA dort selbst an weitere Unternehmen 
oder andere (auch öffentliche) Stellen weitergegeben werden? 

Wenn die datenverarbeitende Stelle wie z. B. das Gentest-Unternehmen oder die 
Forschungseinrichtung eine Niederlassung in der EU hat, so wird die Erhebung 
und weitere Verarbeitung der Kundendaten vom Anwendungsbereich der Ver¬ 
ordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO) erfasst und 
für Übermittlungen der Kundendaten in einen Drittstaat gelten die Regelungen 
des Privacy Shields. 

Die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO) ent¬ 
hält in Kapitel V (Artikel 44 ff.) strenge Voraussetzungen, wenn Verantwortliche 
oder Auftragsverarbeiter personenbezogene Daten aus der Europäischen Union 
an Empfänger in Drittländern übermitteln möchten. Auch bei einer Weiterüber¬ 
mittlung solcher Daten im Drittland (sog. Onward Transfer) gelten dieselben Zu¬ 
lässigkeitsvoraussetzungen wie im Fall der Erstübermittlung. Mit anderen Wor¬ 
ten bleibt das Schutzniveau auch bei einer Weiterübermittlung erhalten. 
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Übermittlungen in Drittländer sind u. a. möglich, wenn die Europäische Kommis¬ 
sion nach Artikel 45 DSGVO einen Angemessenheitsbeschluss gefasst hat. Der 
sog. EU-US-Privacy Shield (Durchführungsbeschluss (EU) 2016/1250 der Kom¬ 
mission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Par¬ 
laments und des Rates über die Angemessenheit des vom EU-US-Datenschutz- 
schild gebotenen Schutzes, ABI. L 207 vom 1. August 2016, S. 1 ff.) ist ein sol¬ 
cher Angemessenheitsbeschluss der EU-Kommission: In dem Beschluss stellt die 
EU-Kommission fest, dass die USA ein angemessenes Schutzniveau für perso¬ 
nenbezogene Daten gewährleisten, die im Rahmen des EU-US-Datenschutz- 
schilds aus der EU an bestimmte Organisationen im nichtöffentlichen Bereich in 
den USA übermittelt werden. Diese US-Organisationen müssen in der „Daten¬ 
schutzschild-Liste“ aufgeführt sein, nachdem sie sich ordnungsgemäß den Daten¬ 
schutzgrundsätzen des Datenschutzschilds unterworfen haben. Entsprechendes 
gilt, wenn es zu Weiterübermittlungen in den USA kommt. Der EU-US-Privacy- 
Shield trifft im nicht-öffentlichen Bereich keine gesonderten Regelungen zu Da¬ 
tenverarbeitungen für den Bereich genetischer Untersuchungen. Für den öffentli¬ 
chen Bereich gilt der EU-US-Privacy Shield nicht. 

Die DSGVO gilt aber auch, wenn ein Unternehmen mit Niederlassung außerhalb 
der EU seine Dienste in der EU anbietet (Marktortprinzip). Insofern sind in diesen 
Fällen die Kundendaten im Drittstaat ebenfalls effektiv geschützt. 


9. Unter welchen Voraussetzungen ist nach Kenntnis der Bundesregierung für 
deutsche Strafverfolgungsbehörden ein Datenabgleich (ggf. auch zur Suche 
nach Verwandten dritten Grades oder weiter) mit den von Unternehmen in 
diesem Bereich gesammelten Daten möglich? 

Ein Datenabgleich von im Strafverfahren erlangten Material, an dem molekular¬ 
genetische Untersuchungen durchgeführt werden konnten, ist gemäß § 81 e ff. der 
Strafprozessordnung (StPO) nur mit der beim Bundeskriminalamt als zentrale 
Verbunddatei geführten DNA-Analysedatei zulässig. 

Soweit die Frage darauf abzielt, welche Informationen eine Strafverfolgungsbe¬ 
hörde bei der Ermittlung von Straftaten und beim Vorliegen bestimmter Ver¬ 
dachtsmomente nutzen darf und ob sie dabei auch auf Informationen zurückgrei¬ 
fen darf, die bei einem privaten Unternehmen vorhanden sind, richtet sich dies 
nach § 161 StPO, der sogenannten Ermittlungsgeneralklausel. 
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